Najčešća pitanja

Da bi se privola smatrala valjanom, mora biti:

• slobodno dana;
• specifična;
• informirana; i
• nedvosmislena.

To znači da pojedinci moraju imati istinski slobodan izbor o tome slažu li se s obradom svojih osobnih podataka; trebaju dovoljno informacija kako bi mogli razumjeti koji se podaci obrađuju, u koju svrhu i kako se to radi; također im je potrebna dovoljna granularnost u zahtjevima za pristanak.

Osim toga, trebala bi postojati jasna pozitivna radnja pojedinca (bez unaprijed označenih polja i jasno odvojena od primjenjivih općih uvjeta).

Osim toga, pojedinci moraju moći slobodno povući svoju privolu (bez ikakvih negativnih posljedica) ako se kasnije  predomisle.

Više informacija:

• Obrađuj osobne podatke zakonito

Ako vaša organizacija prikuplja osobne podatke izravno od pojedinaca, mora pružiti potrebne informacije u trenutku prikupljanja.

U slučaju neizravnog prikupljanja osobnih podataka, vaša organizacija mora pružiti informacije najkasnije u roku od mjesec dana od prvotnog prikupljanja osobnih podataka. To najdulje razdoblje od mjesec dana može se skratiti:

• ako se osobni podaci koriste u svrhu komunikacije s ispitanikom. U tom slučaju morate obavijestiti ispitanika najkasnije u trenutku prve obavijesti ispitaniku;
• ako se podaci prenose drugom primatelju, organizacija o tome obavješćuje ispitanike najkasnije prilikom prijenosa osobnih podataka.

Više informacija:

• Poštuj prava pojedinaca

Svaka organizacija, bez obzira na veličinu ili sektor, s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili koja nudi proizvode ili usluge pojedincima u EGP-u, obrađuje osobne podatke automatiziranim sredstvima ili ne, mora biti u skladu s Općom uredbom o zaštiti podataka. Čak i ako se Opća uredba o zaštiti podataka uglavnom odnosi na automatiziranu obradu osobnih podataka, postupci obrade koji se provode ručno također će podlijegati Općoj uredbi o zaštiti podataka od trenutka kada su papirnate datoteke organizirane na sustavan način, npr. abecedno posložene u ormaru

Primjeri postupaka obrade uključuju prikupljanje, bilježenje, organiziranje, korištenje, izmjenu, pohranu, otkrivanje ibrisanje osobnih podataka pojedinaca.

Međutim, primjena Opće uredbe o zaštiti podataka prilagođava se prirodi, kontekstu, svrhama i rizicima provedenih postupaka obrade. Za male i srednje poduzetnike čija osnovna djelatnost nije obrada osobnih podataka, obveze mogu biti manje stroge nego za veliko poduzeće.

Više informacija:

• Osnove zaštite podataka

Zadaća službenika za zaštitu podataka uključuje, među ostalim:

• informirati i savjetovati organizaciju i njezine zaposlenike o usklađenosti s propisima o  zaštiti podataka;
• praćenje usklađenosti s propisima o zaštiti podataka;
• pružanje savjeta u pogledu procjene učinka na zaštitu podataka i praćenje njezina izvršavanja
• djelovanje kao kontaktna točka za nadzorno tijelo i surađivanje s tim tijelom;
• djelovanje kao kontaktna točka za pojedince.

Osim toga, prisutnost službenika za zaštitu podataka općenito se preporučuje ako se donose odluke koje utječu na zaštitu podataka. Odmah bi se trebalo savjetovati i sa službenikom za zaštitu podataka nakon što dođe do povrede podataka ili nekog drugog incidenta.

Više informacija:

• Službenik za zaštitu podataka

Opća uredba za zaštitu podataka nameće obveze svim organizacijama koje obrađuju osobne podatke, bez obzira na to jesu li voditelji obrade ili izvršitelji obrade.

Konkretno, trebali biste:

• Zapitati se da li je svrha u koju se osobni podaci mogu prikupljati opravdana i prikupljajte li samo osobne podatke koji su potrebni za određenu svrhu ili svrhe;
• Održavajte osobne podatke pojedinaca točnim i ažurnim te izbrišite podatke kada vam više nisu potrebni;
• Poštujute prava pojedinaca tako što će te ih informirati o tome kako i zašto se njihovi podaci obrađuju te im omogućiti da ostvare svoja prava;
• Provjerite imate li odgovarajuću pravnu osnovu za obradu osobnih podataka. U slučaju da se namjeravate osloniti na privolu pojedinaca, zatražite njihovu privolu prije obrade njihovih osobnih podataka;
• Osigurajte da se s osobnim podacima pojedinaca postupa na siguran način;
• Vodite evidenciju aktivnosti obrade.

Izvršitelji obrade morat će se pridržavati odgovornosti utvrđenih  ugovorom između voditelja obrade i izvršitelja obrade ne smiju obrađivati podatke na drugi način osim u skladu s uputama voditelja obrade.

Više informacija:

• Budi usklađen s Općom uredbom o zaštiti podataka
• Voditelj obrade ili izvršitelj obrade
• Osnove zaštite podataka

• Svaka obrada osobnih podataka mora biti zakonita, poštena i transparentna.
• Prikupljanje osobnih podataka mora biti samo u određene, izričite i zakonite svrhe. Obrada podataka pojedinca mora biti strogo ograničena na prvotno utvrđene svrhe i stoga se ne smije obrađivati u daljnje ili druge svrhe koje nisu u skladu s prvotnim svrhama.
• Obrađivanje samo onih osobnih podataka koji su primjereni, relevantni i ograničeni u odnosu na ono što je nužno s obzirom na predviđenu svrhu.
• Svi osobni podaci koji se obrađuju moraju biti točni i prema potrebi ažurirani. Netočni osobni podaci moraju se ispraviti ili izbrisati.
• Pohrana osobnih podataka pojedinaca mora biti vremenski ograničena s obzirom na svrhu u koju su ti podaci prikupljeni i obrađeni. Stoga se osobni podaci pojedinaca moraju izbrisati ili anonimizirati nakon što ti podaci više nisu potrebni.
• Obrada podataka pojedinaca mora se provoditi na siguran način. U tom smislu potrebno je uspostaviti snažne sigurnosne kontrole kako bi se osigurala odgovarajuća zaštita podataka pojedinaca.

Naposljetku, voditelj obrade je odgovoran. To znači da je odgovoran i mora biti u stanju dokazati usklađenost s gore navedenim načelima.

Više informacija:

• Osnove zaštite podataka

Osobne podatke ne možete pohraniti zauvijek.

U pravilu se osobni podaci mogu pohranjivati samo onoliko dugo koliko je potrebno s obzirom na svrhe u koje se osobni podaci obrađuju.

U nekim slučajevima razdoblje čuvanja može se odrediti posebnim zakonima, na primjer, propisima o radu određuje se razdoblje pohrane za platne liste.

Organizacije bi trebale uspostaviti politike zadržavanja podataka kako bi osigurale da se osobni podaci ne čuvaju dulje nego što je potrebno. Osobni podaci pojedinaca moraju se izbrisati ili anonimizirati nakon što ti podaci više nisu potrebni za svrhu u koju su obrađeni.

Više informacija:

• Osnove zaštite podataka

Općenito govoreći, svaka organizacija trebala bi voditi evidenciju o svojim aktivnostima obrade. Ovo je popis svih postupaka obrade i može vam pomoći u donošenju točnih pretpostavki o vašim odgovornostima prema GDPR-u i mogućim rizicima.

Svaki od tih postupaka obrade mora biti opisan u evidenciji sa sljedećim podacima:

• svrha obrade (npr. lojalnost klijenata);
• kategorije obrađenih podataka (npr. za obračun plaća: ime, prezime , datum rođenja, iznos plaće itd.);
• tko ima pristup podacima (primatelji – npr.: odjel zadužen za zapošljavanje, odjel za IT usluge, rukovodstvo, pružatelji usluga, partneri...);
• ako je primjenjivo, informacije koje se odnose na prijenose osobnih podataka izvan Europskog gospodarskog prostora (EGP),
• ako je moguće, razdoblje pohrane (razdoblje za koje su podaci korisni s operativnog stajališta i iz perspektive arhiviranja).
• ako je moguće, opći opis sigurnosnih mjera.

Za evidenciju aktivnosti obrade odgovoran je voditelj obrade.

Ta evidencija mora biti dostupna tijelu za zaštitu podataka zemlje EGP-a u kojoj poslujete, na zahtjev.

Organizacije koje zapošljavaju manje od 250 osoba ne moraju u svojoj evidenciji navesti isključivo povremene aktivnosti (npr. podatke koji se obrađuju za jednokratne događaje kao što je otvaranje trgovine).

 

Više informacija:

• Budi usklađen

Službenici za zaštitu podataka mogu obavljati druge zadaće unutar organizacije, ali to ne može dovesti do sukoba interesa. To znači da službenik za zaštitu podataka ne može imati položaj u kojem određuje svrhe i sredstva aktivnosti obrade. Nespojive funkcije uglavnom uključuju rukovodeće položaje (glavni izvršni direktor, glavni operativni direktor, glavni financijski direktor, voditelj odjela za ljudske resurse, voditelj IT-a, glavni direktor), ali mogu uključivati i druge funkcije ako dovode do utvrđivanja svrhe i načina obrade.

Službenik za zaštitu podataka mora moći obavljati svoje zadaće i zadaće na neovisan način. To znači da vaša organizacija:

• ne smije davati upute službeniku za zaštitu podataka u pogledu izvršavanja njegovih dužnosti;
• ne smiju kažnjavati ili otpustiti službenika za zaštitu podataka zbog obavljanja njegovih zadaća.

Više informacija:

• Službenik za zaštitu podataka

Povreda osobnih podataka je kršenje sigurnosti koje dovodi do slučajnog ili nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa osobnim podacima.

• Ako povreda podataka predstavlja rizik za dotične pojedince, morate je prijaviti nadležnom nadzornom tijelu za zaštitu podataka u roku od 72 sata.
• Ako je vjerojatno da će povreda prouzročiti visok rizik za pojedince, o tome ćete morati obavijestiti i pojedince na koje se to odnosi bez nepotrebnog odgađanja.

U svakom slučaju, za sva kršenja – čak i ona koja nisu prijavljena nadzornom tijelu za zaštitu podataka – morate zabilježiti barem osnovne pojedinosti o povredi, procjenu povrede, njezine učinke i mjere poduzete kao odgovor.

Više informacija:

• Povrede podataka

Općom uredbom o zaštiti podataka predviđaju se posebna prava za pojedince koja se moraju poštovati. To možete učiniti na sljedeći način:

• informiranje pojedinaca čije podatke obrađujete o svojim postupcima obrade i svrhama obrade kada prikupljate njihove podatke, na primjer putem izjave o zaštiti osobnih podataka na svojoj internetskoj stranici;
• odgovaranjem na zahtjeve pojedinaca za ostvarivanje njihovih prava, kao što su zahtjevi za pristup, ispravak, prigovor, brisanje ili prenosivost.

Manje je vjerojatno da će organizacije koje su transparentne u pogledu svoje obrade osobnih podataka i koje poštuju prava pojedinaca biti podložne pritužbama.

Više informacija:

• Poštuj prava pojedinaca

Europski odbor za zaštitu podataka redovito objavljuje priopćenja za medije, vijesti, blogove i druge sadržaje na internetskim stranicama Europskog odbora za zaštitu podataka i njegovim kanalima društvenih medija (Twitter: @EU_EDPB; LinkedIn: Europski odbor za zaštitu podataka) kako bi zajednicu za zaštitu podataka i širu javnost s upoznao s njegovim radom.

Na internetskim stranicama Europskog odbora za zaštitu podataka nalaze se i dva izvora RSS-a na koje se možete pretplatiti za automatska ažuriranja novosti Europskog odbora za zaštitu podataka i njegovih najnovijih publikacija.

Općom uredbom o zaštiti podataka uspostavlja se usklađeni skup pravila koja se primjenjuju na sve obrade osobnih podataka od strane organizacija (javnih ili privatnih, bez obzira na njihovu veličinu) s poslovnim nastanom u Europskom gospodarskom prostoru (EGP) ili usmjerenih na pojedince unutar tog prostora. Glavni je cilj Opće uredbe o zaštiti podataka osigurati da osobni podaci uživaju isti visoki standard zaštite svugdje u EGP-u, čime se povećava pravna sigurnost za pojedince i organizacije koje obrađuju podatke te pruža visok stupanj zaštite pojedinaca.

Uredba je stupila na snagu 24. svibnja 2016. i primjenjuje se od 25. svibnja 2018.

Da, GDPR se primjenjuje ako su osobni podaci sadržani ili su namijenjeni da budu sadržani u sustavu pohrane. To znači da se GDPR primjenjuje i na papirnate zapise, a ne samo na automatiziranu obradu osobnih podataka.

Više informacija:

• Osnove zaštite podataka

Ako postoje dva ili više voditelja obrade podataka koji zajednički određuju svrhu i sredstva obrade, smatraju se zajedničkim voditeljima obrade. Zajednički odlučuju obrađivati osobne podatke u zajedničku svrhu. Zajedničko vođenje obrade može biti u mnogim oblicima, a sudjelovanje različitih voditelja obrade može biti nejednako. Zajednički voditelji obrade stoga moraju utvrditi svoje odgovornosti za usklađenost s Općom uredbom o zaštiti podataka.

Važno je napomenuti da zajedničko vođenje obrade dovodi do zajedničke odgovornosti za aktivnost obrade.

• Primjer zajedničkog vođenja obrade: Društva A i B pokrenule su zajednički proizvod i žele organizirati događanje za promociju tog proizvoda. U tu svrhu odlučuju podijeliti podatke iz baza podataka svojih klijenata i potencijalnih klijenata te na temelju toga odlučiti o popisu gostiju. Također se dogovaraju o načinima slanja pozivnica na događanje, načinu prikupljanja povratnih informacija tijekom događanja i daljnjim marketinškim aktivnostima. Društva A i B mogu se smatrati zajedničkim voditeljima obrade za obradu osobnih podataka povezanih s organizacijom promotivnog događaja jer zajedno odlučuju o zajednički definiranoj svrsi i bitnim sredstvima obrade podataka u tom kontekstu.

Više informacija:

• Voditelj obrade ili izvršitelj obrade

Da, ali da biste to učinili, prvo ćete morati utvrditi pravnu osnovu za obradu ove vrste osobnih podataka. Na primjer, obrada se može smatrati legitimnim interesom vaše organizacije. Prilikom obrade osobnih podataka na temelju legitimnog interesa uvijek je potrebno provesti test ravnoteže kako bi se utvrdilo nadmašuju li vaši legitimni interesi prava pojedinaca, posebno ako su uključena djeca.

Druga moguća pravna osnova za takvu obradu mogla bi biti privola. U svakom slučaju, pojedince bi uvijek trebalo unaprijed obavijestiti da se događanje fotografira ili snima.

Više informacija:

• Obrađuj osobne podatke zakonito

Privola bi doista mogla biti valjana pravna osnova za pohranu životopisa podnositelja zahtjeva za posao. Drugi mogući pravni temelj mogao bi biti legitiman interes. U tom slučaju morate provesti test ravnoteže kako biste dokazali da legitimni interesi vaše organizacije nadmašuju prava podnositelja zahtjeva.

Organizacije će u svakom slučaju morati obavijestiti kandidate da namjeravaju pohraniti njihove podatke i u koje svrhe.

Više informacija:

• Obrađuj osobne podatke zakonito

Obrada osobnih podataka dopuštena je ako za to postoji pravna osnova. Osim dobrovoljne, specifične, informirane i nedvosmislene privole, mogu se koristiti i druge pravne osnove za obradu.

Drugim riječima, privola je potrebna ako se ne primjenjuje nijedna druga pravna osnova.

 

Više informacija:

• Obrađuj osobne podatke zakonito

Ne, ne morate biti certificirani da biste postali službenik za zaštitu podataka.

Međutim, službenici za zaštitu podataka moraju moći dokazati da imaju potrebne kvalifikacije koje se zahtijevaju Općom uredbom o zaštiti podataka, kao što je stručno znanje o pravu i praksi u području zaštite podataka.

Više informacija:

• Službenik za zaštitu podataka

Procjena učinka na zaštitu podataka pisana je procjena koju bi vaša organizacija trebala provesti kako bi procijenila učinak planiranog postupka obrade na prava i slobode ispitanika. Pomaže vam da utvrdite odgovarajuće mjere za uklanjanje rizika i da dokažete usklađenost.

Iako je uvijek poželjno predvidjeti učinak planiranih postupaka obrade vaše organizacije provođenjem procjene učinka na zaštitu podataka, obvezno je provesti procjenu učinka na zaštitu podataka ako je vjerojatno da će obrada prouzročiti visok rizik za prava i slobode pojedinaca.

Konkretno, to je slučaj kada predviđena obrada uključuje:

• opsežnu obradu osjetljivih osobnih podataka ili podataka povezanih s kaznenim osudama;  
• sustavnu i opsežnu procjena osobnih aspekata pojedinca koja se temelji na automatiziranoj obradi, uključujući izradu profila, i na kojoj se temelje odluke koje proizvode pravne učinke koji se odnose na pojedinca u pravnim pitanjima ili na sličan način znatno utječu na pojedince;
• sustavno praćenje javno dostupnog područja u velikoj mjeri.

Europski odbor za zaštitu podataka izradio je smjernice u kojima se navode kriteriji koje morate uzeti u obzir pri procjeni je li procjena učinka na zaštitu podataka obvezna ili nije. Nadzorna tijela za zaštitu podataka objavila su i popise postupaka obrade koji podliježu procjeni učinka na zaštitu podataka. Osim toga, nekoliko tijela za zaštitu podataka razvilo je vodiče, softver ili alate za samoprocjenu koji će vam pomoći u procjeni.

Više informacija:

• Budi usklađen